Windows 安全调整向导

Windows 安全调整向导

作者：.com.cn

使用Windows的人非常多，而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多，安全隐患也很多，不过经过适当的设置和调整，你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整，希望对你有用。

这篇文章将针对一些常见的安全问题给你一些解决方法，其中大部分的操作都是针对Windows 2000/XP的，不保证在Windows 98/Me上可行。

准备活动

给系统安装补丁程序的重要性是不言而喻的，尤其是一些重要的安全补丁和针对IE，OE漏洞的补丁（即使你并不打算使用它们）。微软会经常的发布一些已知漏洞的修补程序，这些东西一般都可以通过Windows Update来安装。你需要做的只是经常性地访问Windows Update网站，地址是：http://windowsupdate.microsoft.com 。或者直接点击开始菜单中Windows Update的快捷方式。而Windows XP和安装了SP3的Windows 2000就更加进步了，可以自动检查更新，在后台下载，下载完成后才通知你并询问是否开始安装。对于Windows 2000/XP的用户，微软还提供了一个检查安全性的实用免费工具：基准安全分析器（Microsoft Baseline Security Analyzer），这个程序可以自动对你的系统进行安全性检测，并且对于出现的问题，都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。

在你安装了所有的补丁程序后，下面开始我们的调整设置。

重命名和禁用默认的帐户

安装好Windows后，系统会自动建立两个账户：Administrator和Guest，其中Administrator拥有最高的权限，Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题，他将轻易的得知你的超级用户的名称，剩下的就是寻找密码了。因此，安全的做法是把Administrator账户的名称改掉，然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是：

在运行中输入“secpol.msc”然后回车，打开“本地安全设置”对话框，依次展开“本地策略－安全选项”，在右侧窗口有一个“账户：重命名系统管理员账户”的策略，双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户，以迷惑闯入者。

安全选项的设置

同样是在本地安全设置中，展开“本地策略－安全选项”，这里还有很多其它的设置，经过合理的配置，可以使你的系统更加安全。以下列举的选项最好全部禁止：

交互式登录：不需要按Ctrl＋Alt＋Del。
网络访问：允许匿名SID/名称转换。
网络访问：让Everyone权限应用到匿名用户。
故障恢复控制台：允许自动系统管理级登录。

而以下的选项最好启用：

设备：只有本地登录的用户才能访问CD－ROM。
设备：只有本地登录的用户才能访问软驱。
交互式登录：不显示上一次使用的用户名。
网络访问：不允许匿名SAM帐户的匿名枚举。
网络访问：不允许SAM账户和共享的匿名枚举。
网络安全：不要在下次更改密码时存储LAN Manager的Hash值。
系统对象：增强内部系统对象的默认权限（例如Symbolic Links）。

可靠的密码

尽管绝对安全的密码是不存在的，但是相对安全的密码还是可以实现。这个还是需要运行secpol.msc来配置本地安全设置。展开到“帐户策略－密码策略”，经过这里的配置，你就可以建立一个完备密码策略，并且你的密码也可以得到最大限度的保护。

强制密码历史，这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换，配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合“密码最长使用期限”这个策略，就能保证密码安全了。默认情况下，这个策略不保存用户的密码，你可以自己设置，建议保存5个以上，而最多可以保存24个。

密码最长使用期限，这个策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。

密码最短使用期限，这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的“强制密码历史”结合起来就可以得知新的密码是否是以前使用过的，如果是，则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用，而最大值为999。

密码长度最小值，这个策略决定了一个密码的长度，有效值在0到14之间。如果设置为0，则表示不需要密码。建议的密码长度不能小于6位。

密码必须符合复杂性要求，如果启用了这个策略，则在设置和更改一个密码的时候，系统将会按照下面的规则检查密码是否有效：

密码不能包含全部或者部分的用户名。
最少包括6个字符。
并且在字符的使用上还要遵循以下的规则，密码必须是：
　　　　　　英文字母，A－Z，大小写敏感。
　　　　　　基本的10个数字，0－9。
　　　　　　不能包含特殊字符，例如!,$,#,%等等。

如果启用了这个策略，相信你的密码就会比较安全了。

为域中的所有用户使用可还原的加密来存储密码，很明显，这个策略最好不要启用。

安全使用Internet Explorer

Internet Explorer是当今最流行的浏览器软件。因为使用的人多，因此IE被发现的安全性问题也就最多，不过没关系，看过本节，你完全可以使你的IE更加安全。需要注意的是，以下的叙述全部以IE 6.0+SP1为准，如果你使用了较低的版本，有些细节方面可能会不一样。

打开Internet Explorer，依次点击工具－Internet选项，然后打开安全选项卡。

在安全选项卡中选择“Internet”，就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置，不过我们最好根据自己的实际情况亲自调整一下。点击下方的“自定义级别”。会出现图三的窗口，这里显示了所有的IE安全设置。
　

下载已签名的ActiveX控件，经过第三方的认证机构签名证明该ActiveX控件是安全的，并且你可以设置为允许下载这种控件，除非你不想安装任何ActiveX控件，或者你想自己从一些网站下载，例如Windows Update，还有播放Flash的插件等。

下载未签名的ActiveX控件，跟经过签名认证的ActiveX控件相比，未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用，或禁用，或者设置为询问，这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。

对没有标记为安全的ActiveX控件进行初始化和脚本运行，与前面的设置类似的，如果你之前都设置为禁用，那么这个选项同样禁用就可以，否则可以设置为询问（建议的设置）或者允许（不建议）来禁止那些为经签名的控件运行。

运行ActiveX控件和插件，假设你已经禁止了所有ActiveX控件和插件的运行，那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。

对标记为可安全执行脚本的ActiveX控件执行脚本，这个选项可以设置的跟前面的相同。

活动脚本，现在各种的脚本程序非常流行，通过脚本程序可以建立很多实用的网页，例如Windows Update网页，就是通过脚本程序来判断你需要下载的补丁的。因此如果禁用掉脚本程序，一些网页将不能正常浏览。这里建议你设置为禁用，至于少数重要的但是不能正常浏览的网页，我们将在后面看到解决办法。

允许通过脚本进行粘贴操作，这个选项允许网页通过脚本把文件复制进你的剪贴板，为了安全考虑最好禁用。

JAVA小程序脚本，JavaScript是一种公开的，多平台，面向对象的脚本语言。很多网页中都使用了JavaScript脚本，但是安全起见最好禁用它。

如果以上的设置会影响到少数你必须要访问的站点（例如Windows Update网站），但是安全起见你又不想把Internet区域的安全级别设置的太低，那么你可以把一些你信任的站点添加到信任站点中去。方法是：

在Internet选项的安全选项卡下，点击“受信任站点”，然后点击“站点”按钮，会出现图四的窗口，在新窗口中输入我们希望添加的网络地址（例如https://windowsupdate.microsoft.com）然后点击右侧的“添加”，这样就可以了。
　

现在，打开Internet选项中的内容选项卡，点击“自动完成”，在这里也有一些东西需要调整。

对于所列出来的每一项，自动完成功能都会保存特定的内容，其中“Web地址”会保存你在IE地址栏中输入过的内容；“表单”会保存你在网页中填写的资料，例如论坛上的发言（除用户名和密码），搜索引擎中使用过的关键字；“表单上的用户名和密码”会保存你登陆论坛或其它网页时输入的用户名和密码。自动完成可以帮助你节省很多时间，但是同时也带来了很大的安全隐患。一旦有人使用你的账号登陆，你登陆网站的用户名和密码等资料就有可能全部被别人看到。因此你可以根据你的电脑的使用情况适当的调整，决定哪些内容可以自动保存，哪些不行。

现在我们转到Internet选项的高级选项卡。这里有一下几点需要注意：

使用被动FTP，为防火墙和DSL调制解调器兼容性，这个设置将会允许在使用IE浏览FTP服务器时使用被动模式 ,这种模式更加安全，因为服务器方无法获得你的IP地址，如果某些FTP服务器你不能正常访问，就可以试试启用或者禁用这个设置。

检查发行商的证书吊销，如果选择了这个选项，当你访问某些需要认证的站点时，IE会首先检查给站点提供的证书是否依然有效。一般情况下，建议你启用这个设置。

检查服务器的证书吊销，这个选项将会使IE检查站点服务器的证书是否仍然有效，一般也应该启用这个设置。

检查下载的程序的签名，如果启用了这个设置，在你下载了程序后IE会通过签名自动检查程序是否被非法改动过。一般应当启用这个设置。

不将加密的页面存入硬盘，启用了这个选项后，对于加密页面(主要是URL以https打头的)将不会保存到Internet临时文件夹中。如果多人共用同一台电脑，这个选项是很有必要的，这样别人就无法通过Internet临时文件窥探到你访问过的加密网页了（例如某些电子商务网站的信用卡付费页面）。

接下来的三个设置：使用SSL 2.0, 使用SSL 3.0和使用 TLS 1.0都跟在Internet上通过协议加密数据有关。例如一些网站的身分认证和重要数据的传输，在这过程中都会使用到SSL加密。因此最佳建议是这三个选项全部启用。但是如果启用后你访问某些加密站点时出现错误，那么可以禁用除SSL 2.0之外的其它两个协议，因为不同版本之间可能会有冲突，而SSL 2.0是被采用的最广泛的，一般的加密站点都会支持。

对无效站点证书发出警告，启用这个设置之后，在遇到无效的站点证书时IE就会发出警告，提醒你注意。一般情况下可以启用这个。

在安全和非安全模式之间转换时发出警告，当启用这个设置之后，如果你要从一个安全的网页（可能是经过SSL加密的）进入到一个不安全的网页的时候，IE会发出警告提醒你，以避免你在不知情的情况下泄漏一些私人的信息。

重定向提交的表单时发出警告，启用这个设置后，你在某些论坛或类似的地方提交的一些信息如果被发送到了其它的服务器上，IE就会发出警报提醒你。所以安全起见这个也应当启用。

安全使用Outlook Express

Outlook Express是Windows自带的一个电子邮件程序，通过OE不仅可以收发电子邮件，还可以浏览新闻组，十分方便。不过很多人并不喜欢这个程序，还想千方百计的把它从自己的系统中卸载掉，主要是因为很多人说使用OE容易传染病毒。菜刀也可以伤人呢，但是每个家庭都得有个菜刀吧，所以，与其考虑怎么卸载OE还不如考虑一下怎么设置才能让OE更安全。本节全部以OE 6+SP1为主，如果你使用得是较低的版本，某些细节方面可能会不同。

OE的主要设置都可以在工具－选项下看到，

在这里我们主要关注的是安全选项卡。

选择要使用的Internet Explorer安全区域，这个设置可以让你决定把电子邮件（尤其是使用HTML语言的电子邮件）当作什么安全区域对待（也就是我们在Internet Explorer的Internet选项中设置的不同安全级别的区域）.把它设置为受限制的区域是比较明智和安全的做法。这样，如果你收到的HTML邮件中含有一些有害的代码就不会危害到你的系统了（当然前提是你已经在IE的Internet 选项中给受限制区域设置了合理的安全级别）。

当其他程序以我的名义发送电子邮件时提醒我，这也是一个很有效的安全策略，曾经有很多病毒都是通过OE的地址簿中的联系人地址来发送含病毒的右键来扩散的，而启用这个设置就可以有效的解决这个问题。一旦有其他程序通过OE发送电子邮件，OE会首先询问你是否发送，对于那些可疑的右键，只要取消发送就可以了。

不允许可能包含病毒的附件被保存或者被打开，当启用这个设置后，电子邮件中某些格式的附件就不能被保存和打开了，这时如果你收到了含有附件的右键，保存和打开附件的选项将为不可用，进一步增强了安全性。

最后一点，在OE选项中打开阅读选项卡，选中“以纯文本方式阅读所有邮件”，这样以后收到的HTML邮件都会被自动转换成纯文本方式，就不用担心邮件中嵌入的病毒和恶意脚本在预览或者查看邮件的时候自动执行了。

加固你的Internet连接

默认情况下，为了建立网络连接，Windows会安装很多协议和运行很多服务其中一些协议和服务都不是必须的，例如NetBIOS、文件和打印机共享等，而“最少的服务＋最小的权限＝最大的安全”这个等式是永远成立的，因此我们有必要关掉不需要的服务，卸载不需要的协议，来增强我们的系统安全。

对于Windows 9x/Me的系统

1. 在控制面板中双击网络图标
2. 选择Microsoft网络客户端，然后点击卸载
3. 禁用文件和打印机共享，如果你确实需要共享，可以给它们设置一个密码
4. 选择TCP/IP，然后点击属性按钮，打开NetBIOS选项卡，取消对“我要在TCP/IP上使用NetBIOS的选择。然后选择DNS设置选项卡，并选择禁用DNS（如果你确实不需要的话）。在WINS设置选项卡下，选中禁用WINS解析
5. 确定，然后重启动电脑

对于Windows 2000/XP的系统

1. 打开控制面板中的网络连接，右键点击Internet连接，选择属性
2. 如果你不需要共享文件和打印机，那么选中并卸载（可以不卸载，但是至少不要再使用）Windows网络的文件和打印机共享
3. 双击Internet 协议 (TCP/IP)，然后点击高级按钮
4. 打开WINS选项卡，取消对启用LMHOSTS查询的选择，然后选择禁用TCP/IP上的NetBIOS
5. 在运行中输入Services.msc然后回车
6. 找到TCP/IP NetBIOS Helper这个服务，把这个服务停止掉，并且设置启动类型为手动或者禁止
7. 重启动电脑

关闭默认共享

默认情况下安装好的Windows 2000/XP 电脑中会有默认创建的共享，虽然这个共享需要你提供管理员的用户名和密码才可以连接，不过放在那里总让人觉得不安全，而按照常规方法还删不掉，一起来修改注册表吧。

运行“regedit”打开注册表编辑器，定位到“HKEY_Local_Machine/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters”，对于Windows 2000 Professional和Windows XP，在右侧面板中新建一个名称为“AutoShareWks”的DWORD键，设置键值为“0”；对于Windows 2000 Server 和Windows Server 2003，创建一个名称为“AutoShareServer”的DWORD键，同样设置键值为“0”，重启动电脑后设置就会生效。

防火墙和杀毒软件

不管你做了怎样的设置，只要你连接在Internet上，防火墙都是必要的。防火墙可以完全保护你的系统，把网络上有害的东西挡在门外。推荐你使用的防火墙主要有两种，一是Symantec公司的Norton Internet Security，这个软件不仅包含网络防火墙，还包含Norton Antivirus，一个著名的杀毒软件。Norton Internet Security的功能非常强大，不仅可以防病毒，防黑客，还可以帮助你过滤浏览网页时看到的广告，过滤收到的电子邮件，过滤网络中的一些色情和其它非法内容。不过Norton Internet Security对系统的要求比较高，老的电脑运行起来可能会慢一些。这样的话你可以试试Zone Alarm或者国产的天网，他们对系统的要求都不错，功能也够强大，还有一点，他们两者都可以从互联网上免费下载到。

对于使用Windows XP的用户也可以用系统自带的防火墙，虽然没有那么多花哨的功能，不过最基本的防护还是可以胜任的。启用的方法是：打开控制面板－网络和Internet连接，双击网络连接打开属性对话框，在高级选项卡下，选中在我的电脑上使用Internet连接防火墙，之后还可以点击设置进行更进一步的配置。

在杀毒软件方面，还建议你试试来自俄罗斯的Kaspersky Antivirus，这软件在国内知道的人不是很多，不过在国际上是很受好评的，幸运的是这个软件已经进入中国市场了，并且也有了中文版。

总结

经过以上的设置，你的系统安全性应该提高不少了，不过需要注意的是，不管在系统和软件上做怎样的防护，正确的使用习惯才是最重要的，因此从现在就开始养成良好的使用习惯的，否则再怎么防护也是白搭。

希望你能有一个安全的系统！